[玩电脑] 没有我的允许，谁也改不了IP；未经我批准，谁也别想擅自接入网络

作为IT人员，你是否经常有这样的困扰：总有些自以为是的人，喜欢修改IP地址，搞得局域网内经常有人报修，甚至直接改成了网关的IP地址，把整个网络都搞崩溃了。

这些内部矛盾其实还好，几次三番之后，大家也就老实了，还有一些是真正的攻击者，他们利用欺骗的手段获取到网络资源，会造成关键信息的泄露，这就比较危险了。

针对以上现象，我们必须对网络作出严格的配置：所有电脑全部配置静态的IP地址，在交换机上做接口限制，所有电脑从固定的接口上线；并且，为了安全考虑，不允许外来人员的电脑随意接入内网。

IPSG是针对基于源IP的攻击提供的一种防御机制，可以有效地防止基于源地址欺骗的网络攻击行为，正适用于上述配置要求。

一、IPSG工作原理

IPSG是基于绑定表对IP报文进行匹配检查的功能。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，那就丢弃该IP报文，攻击者无法接入网络，当然也就无法窃取资源了。

二、IPSG配置方法：

1、磨刀不误砍柴工，开工先上拓扑图；

2、配置要求：

（1）只允许PC1上互联网，其他电脑没有互联网权限；

（2）配置静态绑定表，固定IP和mac地址绑定，擅自修改IP将无法接入网络；

（3）私自携带进办公区域的电脑，无法接入网络。

3、配置过程：

（1）核心交换机的配置：

sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys Core //命名交换机

[Core]vlan 10 //创建vlan10

[Core-vlan10]int g0/0/1

[Core-GigabitEthernet0/0/1]p l t //1口配置为trunk模式

[Core-GigabitEthernet0/0/1]p t a v 10 //允许vlan10通过

[Core-GigabitEthernet0/0/1]int vlan 10

[Core-Vlanif10]ip add 192.168.10.254 24 //配置vlan的IP地址

[Core-Vlanif10]q

[Core]acl 3001 //配置只允许PC1上网的ACL

[Core-acl-adv-3001]rule permit ip source 192.168.10.1 0

[Core-acl-adv-3001]rule deny ip source 192.168.10.0 0.0.0.255

[Core-acl-adv-3001]q

[Core]traffic classifier c1 //配置基于ACL的流分类

[Core-classifier-c1]if-match acl 3001

[Core-classifier-c1]q

[Core]traffic behavior b1 //配置流行为

[Core-behavior-b1]permit

[Core-behavior-b1]q

[Core]traffic policy p1 //配置流策略

[Core-trafficpolicy-p1]classifier c1 behavior b1

[Core-trafficpolicy-p1]q

[Core]int g0/0/2

[Core-GigabitEthernet0/0/2]traffic-policy p1 outbound //在2口应用流策略

[Core-GigabitEthernet0/0/2]return //返回

save //保存配置

（2）接入换机的配置：

sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys Sw1

[Sw1]vlan 10

[Sw1-vlan10]ip source check user-bind enable //在VLAN10启用IPSG功能

[Sw1-vlan10]q

[Sw1]int g0/0/3

[Sw1-GigabitEthernet0/0/3]p l t

[Sw1-GigabitEthernet0/0/3]p t a v 10

[Sw1-GigabitEthernet0/0/3]int g0/0/1

[Sw1-GigabitEthernet0/0/1]p l a

[Sw1-GigabitEthernet0/0/1]p d v 10

[Sw1-GigabitEthernet0/0/1]int g0/0/2

[Sw1-GigabitEthernet0/0/2]p l a

[Sw1-GigabitEthernet0/0/2]p d v 10

[Sw1-GigabitEthernet0/0/2]q

[Sw1]user-bind static ip-address 192.168.10.1 mac-address 5489-986A-4E77 interfa

ce g0/0/1 //绑定IP、Mac及端口

ce g0/0/2

[Sw1]p g g0/0/1 to g0/0/2

[Sw1-port-group]ip source check user-bind en //在1-2端口启用IPSG功能

[Sw1-port-group]q

配置完成，查看静态绑定表信息是否正确：display dhcp static user-bind all

再确认一下，1-2接口是否已经启用IP绑定；

sa //最后，别忘记保存配置，不然就白辛苦了

经过以上配置，PC1可以访问互联网，PC2无法访问互联网，即使将PC2的IP地址更改PC1的IP，还是不能上互联网的；其他未经许可的电脑，接入网线后局域网和互联网都是无法访问的，保证了局域网的安全。

这时候，IT终于可以“稳坐钓鱼台”了，想接入网络的，都得来排队请你出手了，嘿嘿。